Chính sách nhóm: Ổ đĩa đã ánh xạ không tải, Windows Server 2012 Active Directory và Windows Pro 10


12

Mạng:

  • Tên miền nhiều trang.
  • Mỗi trang web có 2 bộ điều khiển miền Windows Server 2012 R2 cục bộ (tại chỗ, cùng mạng con).
  • Các trang web được xác định chính xác trong Trang web và Dịch vụ của Windows.
  • Bản ghi DNS cho mỗi trang CHỈ có hai máy chủ DNS cục bộ được xác định.
  • TẤT CẢ khách hàng là Windows 10 Pro 64-bit với tất cả các bản cập nhật.
  • Cả hai mạng đều có gigabit chạy hoàn toàn trên các thiết bị chuyển mạch của Cisco với hệ thống cáp CAT6 được chứng nhận.
  • Mỗi trang web có một máy chủ lưu trữ Synology cục bộ (tại chỗ, cùng mạng con).
  • Là một phần của Chính sách nhóm, hai ổ đĩa mạng được ánh xạ tới các chia sẻ trên máy chủ Synology.

Chẩn đoán kết nối:

  • dcdiag /test:dns /v /c /ebáo cáo PASScho TẤT CẢ các máy chủ và TẤT CẢ các thử nghiệm
  • echo %logonserver% luôn trả về một DC cục bộ
  • nltest /dsgetdc luôn luôn hiển thị DC cục bộ và IP cục bộ chính xác
  • Trên Trang web A, cả hai ổ đĩa mạng đều hiển thị, có thể có 0,5% khả năng thất bại (Tôi đã trải nghiệm một vài khởi động trong đó các ổ đĩa không hiển thị chính xác).

Vấn đề:

Tại Trang web B, các ổ đĩa mạng không hiển thị có thể chiếm 30% thời gian. Đôi khi nó là cả hai ổ đĩa, đôi khi nó là cái này hay cái kia. Vấn đề chủ yếu là ngẫu nhiên và dường như không theo bất kỳ người dùng hoặc máy trạm cụ thể nào.

Triệu chứng:

Trong số 30% thời gian xảy ra sự cố:

  • 5% thời gian a gpupdatehoặc gpupdate /forcesẽ khắc phục sự cố và các ổ đĩa sẽ ngay lập tức xuất hiện. Nếu gpupdatelần đầu tiên không hoạt động, nó sẽ không bao giờ hoạt động sau lần đó (đối với lần khởi động đó)
  • 5% thời gian a gpupdatehoặcgpupdate /force sẽ khiến chỉ một ổ đĩa xuất hiện
  • 20% thời gian, gpupdatesẽ không khắc phục được sự cố, nhưng lần khởi động tiếp theo sẽ ổn
  • 50% thời gian, gpupdatesẽ không khắc phục được sự cố, nhưng sau lần khởi động này và lần khác gpupdate , các ổ đĩa sẽ xuất hiện
  • 20% thời gian, sẽ mất nhiều lần khởi động lại (và gpupdatecho mỗi lần khởi động) trước khi các ổ đĩa xuất hiện. Đôi khi nó là 2 khởi động, nhưng tôi hiếm khi phải khởi động lại máy tính đôi khi 6 hoặc 7 lần trước khi các ổ đĩa xuất hiện.

    • Trong 20% ​​cuối cùng này, đôi khi tôi sẽ gặp lỗi từ quá trình gpupdate.

      The processing of Group Policy failed. Windows attempted to read the file 
      \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
      from a domain controller and was not successful. Group Policy settings may not be 
      applied until this event is resolved. This issue may be transient and could be 
      caused by one or more of the following:  
      
      a) Name Resolution/Network Connectivity to the current domain controller.  
      b) File Replication Service Latency (a file created on another domain controller 
         has not replicated to the current domain controller).  
      c) The Distributed File System (DFS) client has been disabled.
      
    • Lỗi này thực sự, thông thường nhưng không phải lúc nào cũng là một dấu hiệu tốt bởi vì nói chung sau khi tôi gặp lỗi này, ´gpupdate, hoặc lần khởi động tiếp theo và ọgpupdate, sẽ làm cho các ổ đĩa xuất hiện trở lại.

Chẩn đoán bản đồ ổ đĩa:

  1. gpresult /h gpresult.html trình diễn:

    Drive Map (Drive: X)
     The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
       X:
        Winning GPO  DriveMaps 
         General Settings
          Result: Success
    
  2. Tôi đã kích hoạt ghi nhật ký gỡ lỗi môi trường chính sách nhóm (mỗi http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-sinstall.aspx đã tạo mục đăng ký [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). Tệp nhật ký trong c:\Windows\debug\UserMode\gpsvc.logđã không hiển thị cho tôi bất kỳ lỗi rõ ràng nào và tôi cũng không thể tìm thấy nhiều trợ giúp thông qua google. Dưới đây là một số tin nhắn thú vị tôi đã nhận được:

    GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
    GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
    GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
    
  3. Tôi đã bật gỡ lỗi tùy chọn chính sách nhóm cho Drive Maps (theo http://bloss.technet.com/b/askds/archive/2008/07/18/eneac-group-policy-preferences-debug-logging-USE-the -rsat.aspx được đặt Drive Map Policy Processingthành Enabledvà bật Event Loggingtrong thuộc tính của \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). Các tập tin nhật ký trong C:\ProgramData\GroupPolicy\Preference\Trace\User.logđã không trả lại bất kỳ lỗi.

    2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
    2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
    2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
    2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
    2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
    2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
    2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
    2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
    2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
    2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
    
  4. Tôi cũng có một vài lần chụp netmon khi đăng nhập với các ổ đĩa không tải được, nhưng việc chụp có quá nhiều thông tin Tôi không chắc bắt đầu từ đâu.

  5. Nếu, sau khi đăng nhập thất bại, tôi cố gắng duyệt trực tiếp \\SynologyServer\ShareName\, chia sẻ luôn tải ngay lập tức mà không có bất kỳ lỗi nào. Không có dấu hiệu của vấn đề kết nối hoặc cho phép.

Câu hỏi:

Tại sao vấn đề này xảy ra thường xuyên ở một trang, nhưng hầu như không bao giờ ở trang kia, khi cả hai trên cùng một tên miền, có cùng chính sách và đang chạy cùng một phần mềm?

Sự khác biệt phần mềm duy nhất tôi có thể nghĩ đến là tại Site A, tất cả các máy tính đều chạy Windows 8.1 Pro và được nâng cấp lên Windows 10 Pro, trong khi tại Site B, tất cả các máy tính đều có bản cài đặt Windows 10 Pro mới.


Tò mò nếu điều này có liên quan: social.technet.microsoft.com/Forums/en-US/NH Không có chính sách nhóm nào được tham gia, nhưng nó có liên quan đến các ổ đĩa mạng được ánh xạ. Điều đặc biệt thú vị là quan sát này: "Tôi đã nhận thấy rằng nếu bạn nâng cấp lên windows 10 từ windows 8, bạn có thể truy cập vào NAS và để bản đồ ổ đĩa của bạn. Tuy nhiên, nếu bạn cài đặt windows 10 'sạch' hoặc từ đầu, thì không thể để lập bản đồ ổ đĩa. "
Daniel

Một báo cáo tương tự khác, nhưng cũng từ Windows 10 Preview. Không chắc chắn nếu những điều này vẫn còn có liên quan: answer.microsoft.com/en-us/insider/forum/ mẹo
Daniel

Thú vị như vậy, tại sao không giải quyết nó bằng một tập lệnh "sử dụng mạng" đơn giản (hoặc "wshNetwork" nếu bạn thích)? Dù sao, bạn đã thử cấu hình GPO của Tối ưu hóa đăng nhập nhanh chưa? technet.microsoft.com/en-us/magazine/gg486839.aspx , technet.microsoft.com/l
Library / jj573586.aspx

1
Hãy thử thiết lập Điều khiển này Cách áp dụng chính sách nhóm khi đăng nhập . Nó đảm bảo hệ thống của bạn chờ mạng trên hệ thống cục bộ luôn khả dụng trước khi xử lý GPO.
AndreVSWorld

Nghiên cứu (google) cho tôi thấy rằng các ổ đĩa ánh xạ thông qua các kịch bản đăng nhập không còn được hỗ trợ cho Windows 8+ và ánh xạ qua Chính sách nhóm là phương pháp được đề xuất
Daniel

Câu trả lời:


1

Vì tôi gần như không có đại diện, tôi chưa thể đặt câu hỏi, vì vậy tôi sẽ cố gắng đặt câu hỏi trong khi đăng câu trả lời và hy vọng tôi không bị đóng hộp. ;)

Tôi sẽ giả định rằng bạn đã bảo đảm rằng phần GPO của trường hợp này không phải là vấn đề, bằng cách kiểm tra GPO này dựa trên chia sẻ UNC "truyền thống" trên một hệ thống Windows khác. Thông tin thiếu quan trọng mặc dù theo ý kiến ​​của tôi là liệu các thiết bị Synology có được nối với miền hay không. Rất nhiều đơn vị NAS dựa trên Linux như Synology, QNAP, et al, có các thành phần phần mềm được nhúng cho phép chúng tham gia vào các miền Active Directory. Việc thiết bị này có tham gia vào miền hay không ảnh hưởng đến giải pháp.

Điều đó đang được nói, tôi có các thiết bị từ xa trong mạng của tôi được kết nối với các mạch T1. Chúng tôi yêu cầu sử dụng sao lưu hình ảnh Acronis trên tất cả các hệ thống do yêu cầu hệ thống. Do đó, sao lưu từ xa các hình ảnh nhiều GB của máy trạm Windows so với T1 là không bắt đầu. Vì vậy, chúng tôi đã đặt các đơn vị NAS Dropbo trên mỗi phân khúc cục bộ để khắc phục điều này và cung cấp cho chúng tôi một chút khả năng chịu lỗi. Những Drobos đặc biệt này không có khả năng tham gia vào miền AD.

Để kích hoạt cổ phiếu UNC như được định cấu hình, chúng tôi đã phải thiết lập hai điều chính. Đầu tiên, chúng tôi đã tạo các mục DNS tĩnh trên các máy chủ DNS để cho phép phân giải tên thích hợp. Và thứ hai, chúng tôi đã phải "nới lỏng" hai chính sách mà DISA thường khuyến nghị cho hầu hết các thành viên tên miền. Chúng tôi chỉ nới lỏng các chính sách này trên máy chủ dự phòng và các máy trạm được sao lưu tại các trang web "liên kết chậm", vì đây là những hệ thống duy nhất cần truy cập vào các cổ phần tương ứng:

  • Cấu hình máy tính \ Cài đặt Windows \ Cài đặt bảo mật \ Tùy chọn bảo mật:
    • Máy khách Mạng của Microsoft: Truyền thông ký kỹ thuật số (Luôn luôn) = Đã tắt
    • Microsoft Network Client: Gửi mật khẩu không được mã hóa đến các máy chủ SMB của bên thứ ba = Đã bật
    • Máy chủ mạng Microsoft: Truyền thông ký kỹ thuật số (Luôn luôn) = Đã tắt

Các GPO thành "Truyền thông ký số nếu được đàm phán" vẫn được đặt thành Đã bật, giảm thiểu một chút rủi ro bảo mật liên quan. Khi chúng tôi kích hoạt những thay đổi này, cổ phiếu có thể được truy cập ngay lập tức thông qua đường dẫn UNC, trong khi trước đó không thể thực hiện được.

Đây là lý do tại sao tôi đã nói trước đó tùy thuộc vào việc NAS của bạn có thể tham gia vào miền hay không xác định đường dẫn của giải pháp. Nếu họ có thể tham gia, thì DNS và chính sách nhóm "SMB" sẽ không phải là vấn đề đối với bạn và do đó, giải pháp sẽ nằm ở chỗ khác. Nếu họ KHÔNG thể tham gia (như NAS của tôi), thì đây có thể là giải pháp của bạn.


Các máy chủ Synology được nối với miền. Đây là cách người dùng (và nhóm) có thể truy cập các ổ đĩa được ánh xạ của họ. Các chia sẻ trên máy chủ Synology có quyền dựa trên người dùng và nhóm AD.
Daniel

1
Bạn không cần phải kiếm được danh tiếng cho đặc quyền để đặt câu hỏi . Bất cứ ai cũng có thể hỏi trừ khi tài khoản của bạn bị hệ thống hoặc người điều hành cấm , điều này theo như tôi có thể nói không phải như vậy.
HBruijn

Xin vui lòng không gửi câu trả lời trừ khi họ thực sự trả lời câu hỏi . ServerFault là một nền tảng Q & Akhông phải là một diễn đàn . Nếu bạn có Câu hỏi mới, vui lòng hỏi nó bằng cách nhấp vào Ask Questionnút từ menu ở đầu trang này. Nếu bạn có đủ danh tiếng, bạn có thể nêu lên câu hỏi này để khiến nó chú ý hơn. Ngoài ra, "đánh dấu sao" nó là mục ưa thích và bạn sẽ được thông báo về bất kỳ câu trả lời mới nào. Cảm ơn bạn.
HBruijn

1
@HBrujin, ý tôi là trang web này nói với bạn rằng cho đến khi đại diện của bạn từ 50 trở lên, bạn không được phép đặt câu hỏi của người đăng vấn đề ban đầu. Bạn chỉ có nghĩa vụ đưa ra giải pháp. Mà tôi hoàn toàn hiểu, ở một mức độ. Daniel, đề nghị tiếp theo của tôi sẽ là kiểm tra GPO với máy tính Windows truyền thống lưu trữ một thư mục dùng chung. Nếu bạn đã thử nghiệm điều này, thì điều đó sẽ khiến tôi bối rối trong một thời gian. Tôi ước tôi có thể kiểm tra điều này trong phòng thí nghiệm của mình, nhưng chúng tôi đang sử dụng Win7 / 2008R2 ngay bây giờ và sẽ không có trên các phiên bản của bạn cho đến năm sau.
El Zilcho

Xin lỗi, tôi đã đọc "đặt câu hỏi", nhưng rõ ràng những gì bạn dự định được gọi là, trong biệt ngữ ServerFault, để đăng một "bình luận" , đó thực sự là một đặc quyền mà một người cần 50 điểm. - Thỉnh thoảng chúng tôi nhận được những người không quen thuộc với định dạng Hỏi và Đáp do đó nhận xét thứ hai của tôi.
HBruijn

1

Chà, tôi đã tìm thấy những chủ đề này, và nó có vẻ như là một tình huống gần như giống hệt tôi:

Windows 10: Chính sách nhóm không áp dụng trực tiếp sau khi khởi động, thành công sau

Các ổ đĩa được ánh xạ GPO Windows 8.1 / 10 sẽ không kết nối

Rõ ràng vấn đề này là do Microsoft kích hoạt UNC Hardening trong Windows 10 theo mặc định. Điều này là để khắc phục một lỗ hổng bảo mật, nhưng dường như vô tình khiến Mapped Drive gắn kết không đáng tin cậy. Không có gì đáng ngạc nhiên, có vẻ như Microsoft vẫn chưa giải quyết được lỗi này (hoặc có chúng?)

Điều này cũng giải thích tại sao tôi không gặp vấn đề gì ở Site A. Vì tất cả các máy tính đã được nâng cấp từ Windows 8.1 Pro lên Windows 10, tôi cho rằng các cài đặt liên quan đến UNC Hardening được chuyển từ Windows 8 và ngừng hoạt động , trong khi các máy tính mới cài đặt Windows 10 được sử dụng mặc định của UNC Hardening trên .

Tôi chưa thực sự thử giải pháp này, nhưng có vẻ như quá hoàn hảo để phù hợp với các triệu chứng của tôi không liên quan. Tôi lo lắng về một giải pháp mở ra hệ thống của tôi với nhiều mối đe dọa bảo mật hơn, vì vậy tôi đang tìm giải pháp thay thế. Tôi không thích ý tưởng thiết lập điều này thông qua chính sách nhóm và tôi tự hỏi liệu có thể tắt UNC Hardening chỉ bằng cách chỉnh sửa sổ đăng ký theo cách thủ công hay không. Tôi muốn thử nghiệm trên một vài máy tính trước khi tôi quyết định làm gì tiếp theo. Tuy nhiên, hiện tại tôi chỉ có thể tìm thấy các bước để thay đổi cài đặt thông qua GPO hoặc GPP ...

Có suy nghĩ gì không?


1

Tôi chỉ muốn cập nhật điều này và nói rằng tại một số điểm, một trong những bản cập nhật lớn của Windows 10 đã khắc phục vấn đề này. Đây là một câu hỏi cũ nhưng tôi không muốn để mọi thứ bị treo, chỉ trong trường hợp.


0

Sau khi đọc tất cả mọi thứ bạn cung cấp trong bản cập nhật Daniel, tôi thực sự sẽ đề nghị rằng UNC cứng lại, trong khi có liên quan, không phải là nguyên nhân sâu xa ở đây và đó thực sự có thể là tùy chọn "fastboot" mà OP của bài đăng thứ 2 nói đã khắc phục vấn đề của anh ấy . Tất cả thông tin về việc làm cứng UNC được đề cập đến cổ phiếu SYSVOL và NETLOGON được làm cứng theo mặc định. Mặc dù vấn đề đó sẽ ngăn khách hàng của bạn nhận được các bản cập nhật GP, nhưng thực tế là GPO Drive Map đã áp dụng ít nhất một lần cho các khách hàng đang nghi vấn và không CẦN phải áp dụng lại sau mỗi lần khởi động lại (ngay cả khi nó thực hiện) bản đồ.

Rõ ràng bạn sẽ muốn kiểm tra từng tùy chọn độc lập với tùy chọn khác, nhưng bất kể tùy chọn nào có thể hoặc không hoạt động, dòng lý luận này sẽ xuất hiện gần với nguyên nhân gốc rễ của vấn đề của bạn.


Điều đó không giải thích tại sao các máy khách Windows 8.1 Pro -> Windows 10 của tôi không có vấn đề gì, nhưng tất cả các máy khách Windows 10 cài đặt sạch của tôi đều có vấn đề. Theo tôi biết, fastboot đã không thay đổi đáng kể từ 8 thành 10, nhưng UNC Hardening đã thay đổi từ mặc định sang mặc định.
Daniel

Tôi sẽ thừa nhận, tôi đã phải đọc một số cách nhanh chóng để giúp bản thân tăng tốc phần nào trong việc làm cứng UNC. Tuy nhiên, kiểm tra GP cục bộ của máy khách không tham gia Windows 10 mà tôi có, cũng như GP mặc định của tên miền 2008R2 của tôi (không có máy khách Win10), tôi có thể tự tin nói rằng cứng hóa UNC không được bật theo mặc định. Hơn nữa, tất cả các thông tin tôi đã đọc sáng nay đều nói rằng ngay cả khi bạn kích hoạt UNC Hardening, đó vẫn là một chính sách bao gồm. Có nghĩa là, bất kỳ đường dẫn UNC nào bạn nhập vào chính sách đều được tăng cường. Tất cả các con đường khác vẫn không cứng.
El Zilcho
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.